¿Qué consideraciones debes tener en cuenta para implementar un Sistema de Gestión de Seguridad de la Información?
Seguridad de la información
Durante este artículo queremos revisar los aspectos importantes que se deben considerar de forma previa a la implantación de la norma ISO 27001, ya que es muy útil durante las fases de planificación y operación del Sistema de Gestión de Seguridad de la Información dentro de la empresa.
Se puede convertir en un factor muy importante para conseguir el éxito o, en su defecto, obtener un fracaso en la implementación del Sistema de Gestión de Seguridad de la Información, debido a las actividades diarias que se realizan en la organización y a los recursos requeridos para la operación del sistema.
No existe un procedimiento que describa paso a paso cómo implantar el estándar, existen factores que resultan fundamentales para tener una mejor proyección de los esfuerzos necesarios, además de obtener resultados aceptables:
Respaldo y patrocinio
El primer elemento que se debe considerar antes de realizar la implementación es el respaldo de la alta dirección con respecto a las actividades de seguridad de la información.
La idea puede surgir en cualquier nivel dentro de la empresa, pero requiere del patrocinio de los niveles jerárquicos mucho más elevados.
El soporte y compromiso de la lata dirección refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado. De esta misma forma, resulta muy útil la formación de estructuras dentro de las empresas, que permitan la colaboración y la cooperación de los representantes de las distintas partes con roles y funciones relevantes.
En este sentido, una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en torno al sistema de gestión, mediante la conformación de un foro o comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, todas las responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
Estructura para la toma de decisiones
Para realizar las actividades de gestión de la seguridad, el comité es un grupo interdisciplinar encargado de tomar decisiones referentes a la implantación y operación del sistema de gestión, además de mantener el control administrativo del marco de trabajo de seguridad.
El principal objetivo es integrar a miembros de la dirección para proporcionar una visión de negocio a las decisiones que competen a este comité, además de la generación de los concesos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la empresa.
De esta forma, puede agrupar las necesidades y puntos de vista de los integrantes de la empresa como pueden ser usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos.
Otros miembros pueden conformar al responsable del sistema de gestión, jefes de áreas, jefes de áreas funcionales de la empresa y un rol de auditor para una evaluación objetiva e imparcial del Sistema de Gestión de Seguridad de la Información.
Análisis GAP
El análisis GAP es un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria, para ello se utilizan criterios establecidos en normas o estándares.
El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque el análisis es aplicable a cualquier estándar certificable, normalmente se realiza para nuevos esquemas de certificación, son los que más dudas generan sobre las empresas.
Análisis de Impacto al Negocio
El análisis de impacto al negocio es un elemento que se utiliza para estimar la afectación que puede padecer una empresa como resultado de que ocurra algún accidente o un desastre.
Presenta dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una empresa y la priorización de este conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El análisis de impacto al negocio se encuentra relacionado con los procesos que poseen un tiempo crítico para su operación. Todos los procesos se encuentran sujetos a un tiempo crítico, son de misión crítica, no todos los procesos de misión se encuentran relacionados con el tiempo crítico para su ejecución.
Recursos: tiempo, dinero y personal
De los resultados de análisis de brecha y del impacto de negocio, es posible estimar los elementos necesarios para la implantación de ISO 27001. En el caso de tratarse el primer ciclo de operación, el momento sugerido para la implantación de la norma es un periodo con una carga de trabajo menor, que permite una planificación adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea.
Revisión de los estándares de seguridad
Se trata de una actividad útil previa de la implantación del Sistema de Gestión de Seguridad de la Información que se encuentra relacionada con conocer el contenido y la estructura del estándar ISO 27001. De manera específica, una tarea necesaria consiste en conocer la familia de normas ISO 27000, que permite conocer los principios con los que se fundamenta la implantación de un Sistema de Gestión de Seguridad de la Información.
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.